2022年7月Oracle製品のクリティカルパッチアップデートに関する注意喚起
概要
2022年7月19日(米国時間)、Oracleは複数の製品に対するクリティカルパッチアップデートに関する情報を公開しました。
Oracle の公開情報
Oracle Critical Patch Update Advisory - July 2022
https://www.oracle.com/security-alerts/cpujul2022.html
--- 上記のサイトより、抜粋(機械訳) ---
オラクルは、オラクルがすでにセキュリティパッチをリリースしている脆弱性を悪用しようとする試みの報告を定期的に受け取り続けています。
場合によっては、標的となる顧客が利用可能なOracleパッチを適用できなかったために、攻撃者が成功したことが報告されています。
したがって、オラクルは、お客様がアクティブにサポートされているバージョンを継続し、CriticalPatchUpdateセキュリティパッチを遅滞なく適用することを強くお勧めします。
<中略>
ノート:
- OracleSolarisに影響を与える脆弱性はOracleZFSSAに影響を与える可能性があるため、Oracleのお客様は、重要なパッチの更新で公開されたZFSSAの問題を解決するために必要なセキュリティパッチの最小リビジョンについて、OracleおよびSun Systems Product Suiteの重要なパッチの更新に関するナレッジドキュメント、My Oracle SupportNote2160904.1を参照してください。およびSolarisサードパーティのセキュリティ情報。
- Solarisサードパーティ速報は、OracleSolarisで配布されるサードパーティソフトウェアのセキュリティパッチを発表するために使用されます。Solaris 10のお客様は、システムパッチの可用性に関するドキュメントで詳しく説明されている重要なセキュリティパッチを含む最新のパッチセットを参照する必要があります。詳細については、CVE IDおよびSolarisパッチのリファレンスインデックス(My Oracle Support Note 1448883.1)を参照してください。
- ブラウザでJavaSEを実行しているユーザーは、https://java.comから最新リリースをダウンロードできます。WindowsおよびMacOSXプラットフォームのユーザーは、自動更新を使用して最新リリースを取得することもできます。
回避策
攻撃の成功によってもたらされる脅威のため、オラクルは、お客様がクリティカルパッチアップデートのセキュリティパッチをできるだけ早く適用することを強くお勧めします。
クリティカルパッチアップデートパッチを適用するまでは、攻撃に必要なネットワークプロトコルをブロックすることで、攻撃が成功するリスクを減らすことができる場合があります。
特定の特権または特定のパッケージへのアクセスを必要とする攻撃の場合、特権または特権を必要としないユーザーからパッケージにアクセスする機能を削除すると、攻撃が成功するリスクを減らすことができます。
どちらのアプローチもアプリケーションの機能を損なう可能性があるため、オラクルはお客様が非実稼働システムで変更をテストすることを強くお勧めします。
どちらのアプローチも根本的な問題を修正しないため、長期的な解決策と見なすべきではありません。
-----------------------------
脆弱性が悪用された場合、リモートからの攻撃によって、不正な操作が実行されたり機微な情報を不正に削除や改ざんされたりするなどの可能性があります。
対象となる製品およびバージョンは多岐にわたるため、対象となる製品を利用している場合にはOracleの情報を参照し、アップデートの適用などを検討してください。
Oracle の公開情報
Text Form of Oracle Critical Patch Update - July 2022 Risk Matrices
https://www.oracle.com/security-alerts/cpujul2022verbose.html
対策
Oracleからそれぞれの製品に対して、修正済みソフトウェアが公開されています。製品をアップデートした場合、対象製品を利用する他のアプリケーションが正常に動作しなくなる可能性があります。
利用するアプリケーションへの影響を考慮した上で、更新してください。
PCにJava JREがプリインストールされている場合や、サーバーで使用するソフトウェア製品に、WebLogic Serverを使用している場合もあります。
利用中のPCやサーバーに対象となる製品が含まれていないかについても、確認してください。
Javaの最新のバージョンは次のページからダウンロード可能です。
Oracle の公開情報
すべてのオペレーティング・システム用のJavaダウンロード
参考情報
Oracle の公開情報
Oracle Java SE Supportロードマップ
https://www.oracle.com/jp/java/technologies/java-se-support-roadmap.html
Critical Patch Updates, Security Alerts and Bulletins
https://www.oracle.com/security-alerts/
July 2022 Critical Patch Update Released
https://blogs.oracle.com/security/post/july-2022-cpu-released
Oracle Security Alert Advisory - CVE-2022-21500
https://www.oracle.com/security-alerts/alert-cve-2022-21500.html
